NIS2 in Deutschland: Was die Verzögerung der nationalen Umsetzung für Unternehmen bedeutet und warum Vorbereitung der Schlüssel ist

Die überarbeitete Cybersicherheitsrichtlinie der Europäischen Union, NIS2, trat im Oktober 2024 in Kraft. Ihr Ziel ist klar: Stärkung der Cyberresilienz in kritischen und wirtschaftlich bedeutenden Sektoren, Erweiterung des Geltungsbereichs der betroffenen Unternehmen und Einführung strengerer Durchsetzungs- und Rechenschaftsmechanismen.

In Deutschland ist die Umsetzung in nationales Recht jedoch noch nicht abgeschlossen. Politische Veränderungen und Verzögerungen im Gesetzgebungsverfahren haben zu Unsicherheit bei den Organisationen geführt, die möglicherweise in den Anwendungsbereich fallen. Während die Fristen für die Umsetzung auf nationaler Ebene noch nicht endgültig festgelegt sind, sind die auf EU-Ebene definierten Verpflichtungen bereits bekannt.

Für deutsche Unternehmen stellt sich nicht die Frage, ob NIS2 gelten wird, sondern wie gut sie vorbereitet sein werden, wenn die nationale Umsetzung verbindlich wird. Es mag bequem erscheinen, auf vollständige rechtliche Klarheit zu warten, aber die Vorbereitungen auf der Grundlage der Kernanforderungen der Richtlinie können und sollten bereits jetzt beginnen.

Was NIS2 verlangt und für wen es gilt 

Die ursprüngliche NIS-Richtlinie (2016) konzentrierte sich auf kritische Infrastrukturen und die dahinter stehenden Unternehmen, wie etwa große Akteure in den Bereichen Energie, Verkehr, Banken und Gesundheit. Aber NIS2 erweitert den Anwendungsbereich drastisch.  

Diesmal müssen nicht nur große Unternehmen aktiv werden. Es sind alle Organisationen, die für die Wirtschaft oder Gesellschaft unverzichtbare Dienstleistungen erbringen, darunter auch viele kleine und mittlere Unternehmen. 

Letztlich gilt die NIS2 für zwei Ebenen von Unternehmen: 

• Wesentliche Einrichtungen, wie große Unternehmen in kritischen Sektoren wie Energie, Gesundheit, Verkehr und digitale Infrastruktur. Diese Unternehmen haben in der Regel mehr als 250 Beschäftigte oder einen Umsatz von über 50 Mio. EUR.  

• Wichtige Unternehmen, z. B. mittelgroße Unternehmen in Sektoren wie der Herstellung kritischer Produkte, der Lebensmittelproduktion, der Postdienste, der Chemie und der digitalen Dienstleistungen. Diese Unternehmen haben in der Regel mehr als 50 Beschäftigte oder einen Umsatz von mehr als 10 Mio. EUR.  

Die oben genannten Größenschwellen dienen nur als allgemeine Orientierung. Die endgültige Einstufung hängt von sektorspezifischen Kriterien, der Organisationsstruktur und in bestimmten Fällen von der strategischen Relevanz ab. Ein Unternehmen kann auch unterhalb der Größenschwellen als wesentlich oder wichtig eingestuft werden, wenn es eine einzigartige kritische Dienstleistung erbringt. Die spezifischen Schwellenwerte können je nach Sektor variieren und müssen auf der Grundlage der Größe des Unternehmens und des Sektors, in dem es tätig ist, festgelegt werden. Ein Unternehmen kann auch dann als „wesentlich“ oder „wichtig“ eingestuft werden, wenn es die Größenkriterien nicht erfüllt, beispielsweise wenn es der einzige Anbieter einer für die gesellschaftliche oder wirtschaftliche Aktivität kritischen Dienstleistung ist.  

Was sind also die Erwartungen? 

NIS2 verlangt von den betroffenen Unternehmen, dass sie risikobasierte Sicherheitspraktiken für ihre gesamte Geschäftstätigkeit anwenden. Das schließt ein: 

• Risikomanagement: Sie müssen regelmäßige Bewertungen durchführen und entsprechende Sicherheitskontrollen einführen. 
• Behandlung von Zwischenfällen: Einschließlich 24-Stunden-Meldung bedeutender Vorfälle an die Aufsichtsbehörden und vollständige Berichterstattung innerhalb von 72 Stunden. 
• Geschäftskontinuität und Krisenreaktion: Ausfallsicherheitsplanung, Notfallwiederherstellung, Backups und Krisenkommunikationsprozesse. 
• Sicherheit in der Lieferkette: Sie sind nicht nur für Ihre eigenen Schutzmaßnahmen verantwortlich, sondern auch für das Management von Cyberrisiken bei Ihren Lieferanten und Dienstleistern. 
• Governance und Rechenschaftspflicht: NIS2 führt eine Rechenschaftspflicht von oben nach unten ein. Die Unternehmensleitung muss Cyber-Strategien genehmigen und kann bei Fehlern persönlich zur Verantwortung gezogen werden. 

Die Verwaltungsstrafen können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Im Gegensatz zu früheren Regelungen ermöglicht NIS2 auch die persönliche Sanktionierung von Führungskräften. Für viele deutsche Unternehmen, insbesondere im Mittelstand, ist dies das erste Mal, dass sie in die EU-weite Cyber-Regulierung einbezogen werden. 

Die aktuelle Situation in Deutschland 

Obwohl die NIS2 in der gesamten EU in Kraft ist, hat Deutschland sein nationales Umsetzungsgesetz noch nicht verabschiedet. 

Ursprünglich war geplant, die NIS2 mit dem "Gesetz zur Umsetzung der NIS2 und zur Stärkung der Cybersicherheit" bis Anfang 2025 in nationales Recht umzusetzen. Ein entsprechender Gesetzesentwurf war von der Vorgängerregierung verabschiedet worden. Doch die Auflösung des Bundestages Ende 2024 und die anschließenden Neuwahlen brachten das Gesetzgebungsverfahren ins Stocken. 

Jetzt, unter der neuen Koalition, muss der gesamte Prozess von vorne beginnen. Das deutsche NIS-2-Umsetzungsgesetz wurde am 30. Juli vom Kabinett verabschiedet, aber nach dem parlamentarischen Verfahren muss der Gesetzentwurf erneut vorgelegt, geprüft und diskutiert werden. Im günstigsten Fall würde ein neues nationales Gesetz Ende 2025 vorliegen, aber es könnte auch 2026 sein, bevor es in Kraft tritt.  

Die Verzögerung hat dazu geführt, dass die Europäische Kommission Mitgliedstaaten, die die Umsetzung noch nicht abgeschlossen haben, formell daran erinnert hat. Zwar wurde keine formelle Übergangsfrist angegeben, doch werden die Fristen für die Durchsetzung letztlich vom endgültigen deutschen Umsetzungsgesetz abhängen. Noch besorgniserregender ist, dass es keine Anzeichen für eine Übergangsfrist gibt. Sobald das Gesetz verabschiedet ist, wird von den Unternehmen erwartet, dass sie es sofort einhalten. Es wird keinen sanften Start oder eine schrittweise Einführung geben, wie es in anderen EU-Mitgliedstaaten der Fall war.  

In der Praxis bedeutet dies, dass deutsche Unternehmen jetzt handeln müssen, bevor das Gesetz in Kraft tritt. Denn sobald das Gesetz kommt, tickt der Countdown für die Einhaltung der Vorschriften und die Geldbußen bereits. 

Was andere Länder tun und warum Deutschland das zur Kenntnis nehmen sollte 

Während Deutschland hinterherhinkt, haben mehrere EU-Nachbarländer bereits NIS2-Umsetzungspläne veröffentlicht und begonnen, gemeinsam mit der Industrie Vorbereitungen zu treffen. Ihre Fortschritte geben einen hilfreichen Einblick in die Zukunft und zeigen, warum deutsche Unternehmen nicht warten sollten.  

Österreich: Verzögerungen, aber Transparenz 

Österreich hat nach politischen Verzögerungen einen überarbeiteten Gesetzesentwurf veröffentlicht und Konsultationsprozesse eingeleitet. Die Behörden haben vorläufige Branchenleitlinien herausgegeben, um Organisationen bei der Einleitung vorbereitender Bewertungen zu unterstützen. 

Niederlande: Klare Zeitvorgaben und ein früher Start 

Die Niederlande haben frühzeitig Konsultationsentwürfe vorgelegt und Zieltermine für die Umsetzung festgelegt, um Unternehmen bereits vor der offiziellen Einführung regulatorische Orientierungshilfen zu geben. 

Entscheidend ist, dass die niederländischen Regulierungsbehörden frühzeitig Leitlinien veröffentlicht haben, die Unternehmen dabei helfen, ihre Risiken zu bewerten, ihre Unternehmensführung anzupassen und Protokolle für die Reaktion auf Vorfälle zu testen, lange bevor das Gesetz in Kraft tritt. 

Frankreich: Schneller und weiter vorankommen 

Frankreich hat NIS2 neben den entsprechenden EU-Richtlinien in einen umfassenderen nationalen Resilienzrahmen integriert , wobei der Schutz kritischer Infrastrukturen und die Kontinuitätsplanung im Vordergrund stehen.

Im Frühjahr 2025 wurde das Gesetz bereits im Parlament fertiggestellt. Das französische Modell legt besonderen Wert auf kritische Infrastrukturen, Kontinuitätsplanung und nationale Koordination. Wichtig ist auch, dass Frankreich die NIS2-ähnlichen Verpflichtungen über das EU-Minimum hinaus ausweitet und einige Gemeinden und Forschungseinrichtungen einbezieht. 

Wie deutsche Unternehmen jetzt handeln können 

Während Deutschlands nationales Gesetz spät dran ist, ist die EU-Richtlinie bereits in Kraft, und wenn Sie auf die endgültige Gesetzgebung warten, riskieren Sie mögliche Geldstrafen. Hier ist, was deutsche Unternehmen (insbesondere diejenigen, die in regulierten Sektoren tätig sind) jetzt tun sollten: 

1. Beurteilen Sie, ob Sie im Geltungsbereich sind 

Beginnen Sie mit den Grundlagen: Als erstes Auswahlkriterium sollten Unternehmen mit 50 oder mehr Mitarbeitern, die in den in Anhang I oder II der NIS2 aufgeführten Sektoren tätig sind, von einer potenziellen Anwendbarkeit ausgehen. Selbst wenn Sie Lieferant eines betroffenen Unternehmens sind, können Sie indirekt betroffen sein. Beginnen Sie jetzt damit, Ihre Geschäftsfunktionen, Abhängigkeiten und Sektorklassifizierungen zu erfassen. Die Regulierungsbehörden in Österreich und den Niederlanden arbeiten mit Unternehmen auf der Grundlage von Entwürfen zusammen. Das können Sie auch. 

2. Führen Sie eine Lückenanalyse durch 

NIS2 erfordert einen dokumentierten, risikobasierten Ansatz für das Cybersicherheitsmanagement. Unternehmen sollten bestehende Kontrollen systematisch mit den Anforderungen der Richtlinie vergleichen, darunter Verfahren zur Meldung von Vorfällen, Sicherheit der Lieferkette, Governance-Strukturen und Planung der Geschäftskontinuität. 

3. Stärkung des Bewusstseins der Mitarbeiter 

NIS2 macht Cybersicherheit zu einer Verantwortung, die von oben nach unten getragen wird. Die Führungskräfte müssen ihre Pflichten verstehen und Verantwortung für die Cyberstrategie übernehmen. Jetzt ist es an der Zeit, Vorstände zu informieren, Abteilungsleiter zu schulen und Sensibilisierungsworkshops im gesamten Unternehmen durchzuführen. Die Schulungen sollten maßgeschneidert sein, da verschiedene Rollen unterschiedlichen Risiken ausgesetzt sind. Die Meldung von Vorfällen, die Identifizierung von Phishing-Versuchen und der sichere Umgang mit sensiblen Daten sind Aufgaben, die alle betreffen. 

4. Bei Bedarf externe Unterstützung hinzuziehen 

Nicht jedes Unternehmen verfügt über die internen Ressourcen, um die Anforderungen von NIS2 zu erfüllen. Externe Beratungs- oder Managed-Security-Partner können strukturierte Unterstützung bei der Durchführung von Bewertungen, der Stärkung der Überwachungskapazitäten und der Anpassung der Dokumentation an die regulatorischen Anforderungen bieten. Ob es sich nun um einen Managed Security Service Provider (MSSP) zur Überwachung von Bedrohungen und Reaktion auf Vorfälle oder um eine Beratungsfirma zur Unterstützung bei der Vorbereitung auf die Compliance handelt – es ist nicht notwendig, das Rad neu zu erfinden. 

Tools wie der NIS2-Navigator - der von Deutschland sicher im Netz e.V. entwickelt und vom Bundeswirtschaftsministerium gefördert wird - können Unternehmen dabei helfen, festzustellen, ob sie von der Richtlinie betroffen sind, ihren aktuellen Status zu bewerten und die nächsten Schritte zu bestimmen. 

Darüber hinaus bieten IHKs, Branchenverbände und das BSI (Bundesamt für Sicherheit in der Informationstechnik ) zunehmend Leitfäden, Vorlagen und Checklisten an, die insbesondere KMUs den Umgang mit der NIS2 erleichtern. 

Die Vorbereitung auf NIS2 sollte als strukturierte Resilienzinitiative und nicht als Checkliste zur Einhaltung von Vorschriften betrachtet werden. Unternehmen, die frühzeitig handeln, können Cybersicherheits-Governance, Risikomanagement und Betriebskontinuität rechtzeitig vor Inkrafttreten der Vorschriften aufeinander abstimmen.

Die derzeitige Verzögerung bei der Gesetzgebung verringert weder die Gefährdung durch Cyberbedrohungen noch beseitigt sie künftige regulatorische Verpflichtungen. Unternehmen, die diese Zeit als Vorbereitungszeit betrachten, werden besser aufgestellt sein, wenn die nationale Durchsetzung in Kraft tritt. 

Jetzt handeln, um Bußgelder zu vermeiden 

NIS2 ist ein wichtiger Rechtsakt, mit dem anerkannt wird, dass in unserer risikoreichen digitalen Welt Widerstandsfähigkeit unerlässlich (und, wenn Sie in den Anwendungsbereich fallen, sogar obligatorisch) ist.  

Ja, Deutschland ist spät dran mit der Umsetzung, aber das bedeutet nicht, dass Sie es sich leisten können, die Vorbereitungen hinauszuzögern. Die EU-Richtlinie ist verbindlich. Andere Länder ziehen nach. Und entscheidend ist, dass die Bedrohungsakteure nicht warten, ebenso wenig wie Ihre Konkurrenten. 

Getronics Unternehmen in ganz Deutschland mit den Tools und der Beratung, die sie benötigen, um selbstbewusst voranzukommen. Mit unseren Managed Services und unserer strategischen Beratung helfen wir Unternehmen, Unsicherheit in Klarheit zu verwandeln.Fordern Sie einen Rückruf an, um mit uns ins Gespräch zu kommen und zu erfahren, wie wir Ihnen helfen können.